Назад | Перейти на главную страницу

Какие разрешения требуются удостоверению пула приложений для управления другими пулами приложений?

У меня есть веб-сайт (используемый для управления различными частями нашего программного обеспечения), которому требуются разрешения, необходимые для запуска / остановки других пулов приложений.

Я создал пользователя и установил пользовательский идентификатор пула приложений, однако веб-приложение по-прежнему не может запускать / останавливать пулы приложений. Я получаю следующую ошибку:

System.UnauthorizedAccessException: Filename: redirection.config
Error: Cannot read configuration file due to insufficient permissions
   at Microsoft.Web.Administration.Interop.AppHostWritableAdminManager.GetAdminSection(String bstrSectionName, String bstrSectionPath)
   at Microsoft.Web.Administration.Configuration.GetSectionInternal(ConfigurationSection section, String sectionPath, String locationPath)
   at Microsoft.Web.Administration.ServerManager.get_ApplicationPoolsSection()
   at Microsoft.Web.Administration.ServerManager.get_ApplicationPools()

Обсуждение Вот предлагает установить пул приложений для локальной системы или администратора, это работает, но я не хочу этого делать по соображениям безопасности (внешней поддержке потребуется доступ к этому сайту).

Я дал пользователю более высокие разрешения (как предлагается здесь), начиная с включения его в группу локальных администраторов, но изначально это не сработало, и предоставление пользователю прав на чтение / запись / изменение в C: \ Windows \ System32 \ inetsrv \ config также не сработало. Я, должно быть, сделал что-то не так, поскольку теперь работает локальный администратор, но это все еще не то, что мне нужно.

Так может ли кто-нибудь предложить разрешения, которые мне нужно добавить этому пользователю, и как я могу их применить?

Ответ на мою проблему (но другой вопрос) это здесь, но, чтобы уточнить, я думаю, что мне нужно дать отдельному пользователю «Разрешения на выполнение операций IIS». Кто-нибудь знает, как это сделать, если мне действительно нужны эти разрешения?

Если вы пытаетесь дать им возможность сказать «Переработать пул приложений» или выполнить любую операцию выполнения (запуск, остановка, состояние запроса и т. Д.), Тогда вам необходимо быть частью группы администраторов. Это связано с тем, что RSCA API защищен и разрешен только членам группы администраторов.

Как предлагается в связанном вопросе, вы можете использовать файлы конфигурации ACL (и каталог, и даже ключи шифрования), чтобы иметь возможность читать / писать конфигурацию, но чтобы разрешить доступ во время выполнения, вам потребуется изменить разрешения DCOM для нашего RSCA api.

Я бы, вероятно, вместо этого предложил, может быть, вы защитите действия на своем веб-сайте, которые в этом нуждаются, только выдавая себя за учетную запись администратора прямо перед запуском необходимого кода. Вы также можете рассмотреть возможность реализации шаблона Gatekeeper, в котором высокопривилегированные действия доступны только в одном приложении, работающем от имени администратора, и что одно из них защищено, чтобы быть доступным только с известного и ограниченного IP-адреса и требовать строгой аутентификации, и вы вызываете их из другого управления. сайт.